Trojaner-Board - System langsam, PC friert ein

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - System langsam, PC friert ein (https://www.trojaner-board.de/40901-system-langsam-pc-friert.html)

System langsam, PC friert ein

Hallo!
Mein PC wird immer langsamer und friert zeitweise komplett ein, besonders wenn mehrere Anwendungen gleichzeitig laufen. Adaware findet nichts, auch der Virenscanner findet nichts auffälliges, aber Spyboot gratuliert einerseits zum sauberen System, meldet aber anderseits eine Datei Zlob.Active.X - ?

Ich hab jetzt ein HiJackThis Logfile erstellt, und mich auch ein bißchen durch Google gelesen - komm aber nicht wirklich auf einen grünen Zweig. Kann mir bitte wer weiterhelfen?

Logfile of HijackThis v1.99.1
Scan saved at 23:21:55, on 11.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Programme\Photodex\upgrade\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\****\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OE] "C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - h**p://www.as-con.de/cab/ascon_df.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/1537d41ea5da85f39b05/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {6D86D140-0E5C-42C4-9CF0-2C34DB4A9845} (WRPTester.TControl) - h**p://www.as-con.de/cab/wrpt.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) -
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - h**p://ahnlabdownload.nefficient.co.kr/plugin/myfirewall/myfirewall20.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - h**ps://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.5.0_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - h**p://www.photodex.com/pxplay.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp03.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://www.flatcast.com/de/download/NpFv415.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: GoBack Polling Service (GBPoll) - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Spyware-Schutz (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programme\Photodex\upgrade\ScsiAccess.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Danke!

Du hast einige Ative X Einträge die sehr wahrscheinlich unter System-Volume laufen. Aktive X dient zur Erweiterung von Softwarekomponenten von Microsoft, die ADO`s greifen sogar auf Datenbanken zu. Bei Browsern ist dies Problematisch, da es keine Sicherheitfunktion enthält.
Active-X-Applets stellen die größte Gefahr beim Surfen im Internet dar.
Offen wie ein Scheunentor können Schadprogramme eindringen. Ich selber habe deshalb AktiveX deaktiviert. Die Meldung "Zlob.Activ.X" lässt mich bei Dir aber hellhörig werden und kommt mir nicht koscher vor.

Mache bitte einen e-scan nach folgender Anleitung :
http://www.trojaner-board.de/38066-e...ightymarc.html

Poste das Ergebnis der sog. "find-bat" anschliessend hier.

Mach ich gleich, danke!

Ich hoffe, ich hab das hingekriegt, die Version von e-Scan ist ein andere und hat eine andere Oberfläche.

Hier die find-bat-Datei:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\suni\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702f-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27032-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27034-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702d-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a2702e-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27031-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27033-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware ({71a27036-c7d8-11d2-bef8-525400dfb47a})! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\****\Desktop\SECURITY\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\ssubtimer6.ctimer !!!
Offending Key found: HKCU\\ssubtimer6.gsubclass !!!
Offending Key found: HKCU\\ssubtimer6.isubclass !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 9818
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 2
Dauer des Scans bisher: 00:07:32
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:29:03,78
Batchende: 23:29:08,17

Ist ja ekelig! Kann mich bitte jemand von den Viechern befreien?

Über den Smidfraud-Eintrag brauchst Du Dir keine Gedanken zu machen.
Mache bitte alle versteckten Dateien/Ordner sichtbar:
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.
Lade Dir dieses Prog herunter:
Unlocker - Download
Nach der Installation diese beiden Ordner suchen
{71a27034-c7d8-11d2-bef8-525400dfb47a} , {56336bcb-3d8a-11d6-a00b-0050da18de71}
anklicken, rechte Maustaste, Unlocker (Stäbchen mit dem Stern anklicken, Inhalt leeren).
Dann clearprog downloaden: Downloads von shTools.de
Nach start, Häckchen bei "clear all", alles bereinigen!

AktiveX deaktivieren: IE starten>Extras>Internetoptionen>Sicherheit>Symbol Internet markieren und anschließend auf “Stufe anpassen” klicken. Kleinen Kreis vor deaktivieren anklicken.

Anschl. regseeker & adaware laden :
Download RegSeeker
Ad-aware - Download .
Start in den abgesicherten Modus mit deaktivierter Systemherstellung nach dieser Anleitung:
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)
Beide Progs mit Deinem Spybot durchlaufen lassen, alles löschen was die finden : (regseeker bitte mehrmals laufen lassen) Anschl normal booten, Syst.herst. wieder aktivieren, wieder alle drei durchlaufen lassen, alles löschen.

Ich denke mir mal, danach solltest Du von den "Viechern" befreit sein, zumindest keine Probs mehr haben.

Okay, ich mach mich an die Arbeit, danke! Ich meld mich dann wieder...

..äh, dumme Frage: ich find diese Ordner {71a27034-c7d8-11d2-bef8-525400dfb47a} etc nicht....

Du kannst nicht auf diesen Ordner zugreifen, weil dieser unter System-Volume "abgeheftet" ist.
"System Volume Information" ist ein Systemordner mit wichtigen Informationen zum NTFS-Dateisystem. Der Ordner ist deshalb mit besonderen Rechten versehen, um den Zugriff aller Benutzer zu verhindern - sogar der Administrator hat standardmäßig kein Zugriffsrecht.
Deshalb erst einmal alle versteckten Dateien sichtbar machen (Wie ich geschrieben hatte).
Du solltest unter Start>Suchen>Dateien&Ordnern>"Name eingeben" diese Datei dann auch finden können.

Versteckte Dateien hab ich sichtbar gemacht, unter "Suchen" find ich die beiden aber trotzdem nicht - ich finde sie mit dem RegSeeker, aber da geht das Unlockerdings nicht auf.

Kopier den Pfad von regseeker, oder schreib Ihn Dir auf, lösch so oder so mit regseeker diese Ordner! Wenn Du weiter Probs haben solltest, übergehe diesen Schritt !

So. Ich hab jetzt diese beiden Ordner in RegSeeker gelöscht, Adaware und Regseeker finden nichts mehr.

Spyboot meldet weiterhin freudestrahlend:"Gratulation! Es wurden keine Spione gefunden!" - und gleichzeitig: Fehler während der Überprüfung Zlob.Video.ActiveX Object (ungültiger Datentyp für ") :eek:

und ich hab kein Office mehr...(das kann ich aber neu aufspielen, Hauptsache, das *igitt* kommt weg)

Nachdem heute niemand meine Hilferufe hört (schade), geb ich mal für 14 Tage auf - und flieg in Urlaub :) - ich hoffe, danach hilft mir jemand weiter und erlöst mich von diesen dummen Zeugs. Bis dahin: danke!

So, ich bin zurück und das Problem besteht weiterhin. Kann mir bitte wieder wer weiterhelfen?

Ich poste noch mal mein HJT-File:

Logfile of HijackThis v1.99.1
Scan saved at 23:05:15, on 28.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Programme\Photodex\upgrade\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OE.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\****\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OE] "C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\microsoft office\Office10\OSA.EXE
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - h**p://www.as-con.de/cab/ascon_df.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/1537d41ea5da85f39b05/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {6D86D140-0E5C-42C4-9CF0-2C34DB4A9845} (WRPTester.TControl) - h**p://www.as-con.de/cab/wrpt.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) -
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - h**p://ahnlabdownload.nefficient.co.kr/plugin/myfirewall/myfirewall20.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - h**ps://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.5.0_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - h**p://www.photodex.com/pxplay.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp03.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://www.flatcast.com/de/download/NpFv415.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: GoBack Polling Service (GBPoll) - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Spyware-Schutz (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programme\Photodex\upgrade\ScsiAccess.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Ist das okay?

Zitat:

Zitat von Suni13 (Beitrag 279924)

Hi,
ich kenne mich mit Spybot zwar nicht wirklich aus, aber mE ist die Meldung so zu verstehen, dass während der Überprüfung ob Zlob auf deinem Rechner ist, etwas schiefgegangen. Er hat also nicht Zlob auf deinem Rechner gefunden, sondern wahrscheinlich stimmt etwas in den Defintionen von Zlob bei Spybot nicht.
Gestützt wird meine Vermutung auch dadurch, dass Spybot nichts findet, dass Adaware nichts findet und das dein Virenprogramm nicht anschlägt. Außerdem hat eScan auch keine Zlobdateien gefunden. (Irgendwann muss man dann einfach akzeptieren, dass man Zlob vielleicht nicht auf dem Rechner hat. ;))

Hast du denn irgendwelche Probleme am Rechner, oder stört dich nur die Meldung?

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 283049)

(Irgendwann muss man dann einfach akzeptieren, dass man Zlob vielleicht nicht auf dem Rechner hat. ;))

:) Mach ich gerne!

Zitat:

Zitat von myrtille (Beitrag 283049)

Hast du denn irgendwelche Probleme am Rechner, oder stört dich nur die Meldung?

lg myrtille

Mein Rechner ist langsamer und ist bis vor 2 Wochen regelmäßig "eingefroren" - langsam ist er zeitweise noch immer, aber bis jetzt (bin ja erst seit gestern wieder da) ist er zumindest nicht abgestürzt. Beim Hochfahren zeigt er mir immer "Windows Installer - Installation wird vorbereitet" - und das dauert dann ca 3 Minuten, dann verschwindet die Meldung. Sonst klappt eigentlich alles! Ist mein HJT-File in Ordnung?
Danke!

Hi,
Logfile sieht soweit sauber aus, es sind nur ein paar "tote" Verweise dabei, die du fixen kannst:

Zitat:

O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.5.0_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
O4 - Global Startup: hpoddt01.exe.lnk = ?

Der WindowsInstaller deutet (wie der Name schon sagt) darauf, dass eine Programmkomponente nicht ganz oder nicht korrekt installiert ist. Der wird zb aktiv, wenn man eine neue Sprache für Office installieren will (oder auch deinstallieren).
Ist dir in letzter Zeit der Rechner bei ner Installation oder bei nem Update abgestürzt? Hast du eine (De)Installation nicht komplett abgeschloßen?

Sollte er abstürzen und sich automatisch Neustarten kannst du unter Start->Systemsteuerung->System->Automatischer Neustart den Automatische Neustart deaktivieren und du erhältst einen Bluescreen mit einer Fehlermeldung. Da kann man dann (zb) bei Windows oder über Google herausfinden was die Abstürze verursacht.

lg myrtille

Danke, dann fix ich das mal.
Diese Installer-Meldung kommt schon recht lange, ich weiß leider nicht mehr, was der "Anlass" dafür war (hier werkeln auch meine Kinder immer wieder mal rum *grrr*). Der Rechner stürzt nicht direkt ab, sondern friert "nur" ein, da geht dann gar nichts mehr. Nach einem Reset klappts dann wieder, manchmal sind aber auch 2 oder 3 Resets notwendig http://www.holisticats.de/forum/foru...con_11nixw.gif

Edit:
O16 - DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.5.0_03) -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) -
können nicht gefixt werden, weil sie nicht mehr existieren.
O4 - Global Startup: hpoddt01.exe.lnk = ?
kann nicht gefixt werden, da unbekannt und ev. Spyware - ist aber jetzt weg ????

Tja, da kann ich dann auch nicht viel anderes sagen als: http://www.holisticats.de/forum/foru...con_11nixw.gif ;)

Was du noch versuchen kannst, ist herauszubekommen welcher Prozess eine hohe Auslastung verursacht, wenn dein Rechner das nächste Mal einfriert.

lg myrtille

Kann es sein, dass der Windows Installer selbst irgendwas hat?

Hi,
es könnte auch an Folgendem liegen:

Zitat:

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

Deaktiviere bei Spybot mal den Hintergrundwächter, (im Hauptprogramm in den erweitereten Modus und dann unter Werkzeuge/Tools bei Resident die beiden Haken bei Tea Timer und SDHelper rausnehmen) und starte den Rechner neu.
Mit etwas Glück klappt danach alles.

lg myrtille

Gut, mach ich. (Da war ich ja noch nie im Spybot....) Danke.

He super, das Installer-Dings ist weg!!!!! http://www.maritas-katzenforum.de/im...ies/banana.gif http://www.maritas-katzenforum.de/im...ies/banana.gif ich bin schwer begeistert, danke!!!!!!

Hi,
Der Wächter von Spybot überprüft die Registry und macht Veränderungen in der Registry rückgängig, wenn er sie findet. Leider aber eben auch Änderungen die nicht von Schädlingen sondern eben durch Programme verursacht werden.
Deswegen sollte man den Wächter nur unter bestimmten Umständen laufen lassen.

Freut mich das es dann doch so einfach war, hatte eben angefangen mich in die tieferen Ebenen des Windowsinstallers einzulesen, das war nicht schön. :blabla:

lg myrtille

Für dich war es vielleicht einfach, ich schleppe das Problem doch schon monatelang herum :) Ich muss sagen, ich finde das Forum hier echt super, da wird schnell und kompetent geholfen, toll!! :daumenhoc Ich werd euch auf jeden Fall weiterempfehlen! Danke noch einmal!

Hach, solche Komplimente hört man doch immer wieder gerne. :)

Wünsch dir noch viel Spass mit deinem Rechner. :)

lg myrtille